CentOS 8 Http 2.4 에 mod_security 설치하기 (YUM)
CentOS 8, yum 으로 설치된 httpd 에 mod_security 를 추가로 설치하는 방법입니다.
1. 모듈 설치
# dnf -y install mod_security
2. OWASP 룰 설치 및 적용
# cd /etc/httpd
# git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
# cd owasp-modsecurity-crs
# cp -arp crs-setup.conf.example /etc/httpd/modsecurity.d/crs-setup.conf
# vi /etc/httpd/modsecurity.d/crs-setup.conf
문서 하단부의 pass 를 deny 로 변경
SecAction \ "id:900990,\ phase:1,\ nolog,\ deny,\ t:none,\ setvar:tx.crs_setup_version=320" |
# cd rules
# cp -arp ./* /etc/httpd/modsecurity.d/activated_rules/
# cd /etc/httpd/modsecurity.d/activated_rules/
# cp -arp REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
# cp -arp RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
3. 적용
# systemctl restart httpd
4. 확인
웹브라우저에서 다음과 같이 웹페이지로 공격시도를 해봅니다.
http://도메인/index.html?cmd=rm
'리눅스 > Security' 카테고리의 다른 글
| 서버에 로그인 (계정 환경 불러오기) 될때마다 Telegram 으로 관리자에게 알람 주는 방법 (0) | 2024.04.18 |
|---|---|
| Snort 규칙 (공격 분류, 우선 순위 정보 포함) (0) | 2020.10.06 |
| Snort - 03. Snort Rule 구조 (0) | 2020.10.06 |
| httpd (apache2) 설정을 이용한 웹취약점 보완 (0) | 2020.03.17 |
| 웹취약점 점검 도구 OWASP ZAP 설치 및 실행방법 (0) | 2020.03.06 |
